Hoppa till innehåll

Prakto listad på CSA STAR Level 1 — säkerhet och GDPR transparent

12 Jun 2026

·

5 minute read

Yazan Ghayad avatar
Yazan GhayadVD & Grundare

OptiTech Sverige AB, leverantören av praktikplattformen Prakto, är sedan den 9 juni 2026 listad i Cloud Security Alliance STAR Registry med en publicerad CSA STAR Level 1-självutvärdering (CAIQ v4.1.0). Det innebär att hela vår säkerhets- och integritetsposition nu finns dokumenterad, öppet, för skolor och företag som behöver granska oss som leverantör.

CSA STAR Level 1 är en självutvärdering där leverantören publikt redovisar hur den hanterar moln-, säkerhets- och integritetskontroller i ramverket Cloud Controls Matrix (CCM). Den är ett av de mest etablerade transparensverktygen i molnbranschen och används av inköpare över hela världen för att jämföra SaaS-leverantörer.

Varför det här är viktigt för svenska skolor och företag#

Prakto är en EdTech-plattform som hanterar studentdata — ofta minderårigas. Då räcker det inte att säga att man "tar säkerhet på allvar". Skolor som ska upphandla ett digitalt verktyg, och företag som tar emot praktikanter, behöver kunna se konkret hur leverantören skyddar datan, var den lagras och vilka rättigheter de registrerade har.

CSA STAR Level 1 ger den genomlysningen i ett standardiserat format. För Prakto är listningen ett sätt att svara på säkerhetsfrågor innan de ställs — i stället för att skicka olika svar till olika kunder.

Det här dokumenterar vår CAIQ#

Självutvärderingen täcker hela kontrollytan i Cloud Controls Matrix v4.1. De viktigaste punkterna ur ett svenskt skol- och företagsperspektiv:

  • EU-datalagring — primär data hostas i Frankfurt, inom EU.
  • Kryptering i transit och i vila — TLS med HSTS över hela plattformen, kryptering av lagrad data.
  • Kolumnbaserad multi-tenant-isolering — varje skola och företag har sin egen logiska avgränsning, med RBAC (rollbaserad åtkomstkontroll) som verifieras på servern, inte i klienten.
  • GDPR-anpassad behandling — laglig grund per ändamål, dataminimering, processer för de registrerades rättigheter, och DPA (databehandlaravtal) tillgängligt för skolor och företag.
  • PII-redaktering före AI-behandling i tredje land — innan något fritextfält skickas till en AI-tjänst utanför EU/EES tas personuppgifter bort. Det är vår praktiska tillämpning av Schrems II.
  • Distribuerad rate limiting och audit-loggning — för att förhindra missbruk och möjliggöra spårbarhet.
  • PII-rensad felövervakning — Sentry-felrapporter passerar en aggressiv scrubber så att personuppgifter inte hamnar i loggar.

Kort: vad är skillnaden mellan STAR Level 1 och Level 2?#

CSA STAR Level 1 är en självutvärdering. Leverantören fyller själv i CAIQ och publicerar svaren öppet. Det är frivilligt, transparent och gratis att läsa.

CSA STAR Level 2 är en oberoende certifiering där en tredje part granskar och bekräftar svaren, ofta tillsammans med ISO/IEC 27001 eller SOC 2.

Vår nuvarande listning är Level 1. Det är ett medvetet första steg: vi publicerar vår position öppet nu, så att skolor och företag kan granska oss direkt, samtidigt som vi fortsätter mogna kontrollerna för att kunna gå vidare till Level 2.

Så använder du listningen i din upphandling#

Om du är skola, utbildningsanordnare eller företag som ska granska Prakto som leverantör kan du:

  1. Hämta vår CAIQ-fil direkt från CSA STAR Registry.
  2. Använda den som svar på säkerhets- och GDPR-frågor i er leverantörsbedömning.
  3. Begära vårt DPA-avtal som komplement för den juridiska delen.
  4. Kontakta oss för specifika frågor som inte täcks av CAIQ.

För många skolor räcker CAIQ + DPA för att slutföra leverantörsgranskningen.

Vad det här betyder för Praktos roadmap#

Listningen är ingen slutstation. Vi behandlar säkerhet, integritet och ansvarsfull AI som kärnkrav i produkten — inte som en separat avdelning. Konkret betyder det att vi:

  • fortsätter köra säkerhets- och GDPR-genomgångar löpande,
  • håller vår CAIQ uppdaterad när plattformen utvecklas,
  • bygger nya AI-funktioner med PII-redaktering som standard, inte som tillval,
  • och utvärderar nästa steg mot STAR Level 2 och relaterade ramverk.

Vanliga frågor#

Är Prakto GDPR-kompatibelt?#

Ja. Prakto är byggt enligt GDPR med laglig grund per behandlingsändamål, dataminimering, processer för de registrerades rättigheter samt ett DPA-avtal som tecknas med skolor och företag.

Var lagras data i Prakto?#

Primär data lagras i Frankfurt, inom EU.

Skickas studentdata till AI-tjänster utanför EU?#

Endast efter PII-redaktering. Personuppgifter tas bort ur fritext innan något skickas till en AI-leverantör i tredje land, i linje med Schrems II.

Vad är CSA STAR Level 1?#

En självutvärdering där molnleverantören publikt redovisar sina säkerhets- och integritetskontroller enligt Cloud Controls Matrix. Den publiceras i CSA STAR Registry och kan användas av kunder i upphandling.

Var hittar jag Praktos CAIQ?#

I CSA STAR Registry under OptiTech Sverige AB / Prakto. Du kan också begära den direkt från oss.

Slutsats#

CSA STAR Level 1-listningen är ett konkret steg i hur vi vill driva Prakto: öppet, granskbart och med säkerhet som standard snarare än marknadsföring. För skolor och företag som ska välja praktikplattform innebär det att en stor del av leverantörsgranskningen redan finns publicerad och färdig att läsa.

Vill du veta mer? Läs vår GDPR-guide för skolor och företag eller hur vi tänker kring AI och praktikmatchning.

Källor#

Share this article
Kontakta oss

Vill du veta mer om Prakto?

Oavsett om du representerar en skola, ett företag eller är student, vi hjälper dig gärna att komma igång.

Fyll i formuläret så hör vi av oss inom 24 timmar.

Skicka ett meddelande